Si su organización ya cumple con PCI DSS, ya está en el buen camino para lograr el cumplimiento de RGPD. Al trabajar para cumplir con el Reglamento Global de Protección de Datos, notará que algunos de los principios y garantías son muy familiares.

Esta familiaridad es importante - significa que usted ya tiene una buena comprensión de los principios que sustentan el RGPD.

Aquí hay 5 puntos en común entre PCI DSS y RGPD

1. Ambos se centran en la protección de datos personales

Los datos de identificación personal (a veces denominados PID) son la principal preocupación tanto del PCI DSS como del RGPD. Todas las recomendaciones y requisitos de ambos sistemas se centran en la protección de sus clientes. Aunque tanto PCI DSS como RGPD incluyen detalles técnicos como cifrado y cortafuegos, estos sólo se incluyen para facilitar la protección de PID.

2. Ambos se basan en la identificación de datos personales

Tanto PCI DSS como RGPD dependen de que su empresa identifique adecuadamente los datos personales que posee. En el caso de PCI DSS, este descubrimiento de datos sólo está relacionado con los datos de pago - RGPD requiere que usted identifique toda la información personal identificable que haya almacenado. Para mantener el cumplimiento, deberá mantener algún tipo de registro interno de los registros de datos personales que puedan ser auditados.

3. Ambos regulan estrictamente el acceso a los datos personales

Más que simplemente saber dónde se almacenan los datos personales en la red, ambos reglamentos también definen las expectativas sobre el acceso a esa información. Es evidente que el acceso por parte de terceros está prohibido en casi todas las circunstancias, pero también se exige que el permiso para utilizar los datos personales se restrinja únicamente a aquellos empleados que los necesiten con el fin de prestar servicios a los clientes.

4. Ambos marcos requieren revisiones periódicas de sus disposiciones de seguridad

PCI DSS ya exige que revise las disposiciones de seguridad cada año. El RGPD no define ningún plazo específico para la revisión de la seguridad, pero se espera que cada empresa verifique (y repare) sistemáticamente las debilidades en sus disposiciones de seguridad de la información.

5. Ambos son objeto de fuertes multas por incumplimiento

El incumplimiento del PCI DSS o del RGPD atrae multas potencialmente enormes. Las multas por incumplimiento de PCI DSS se calculan en base al número de consumidores afectados, multiplicado por una tasa fija determinada por el emisor de la tarjeta. Las multas de RGPD serán determinadas por los tribunales europeos y podrían alcanzar hasta 20 millones de euros o el 4% del volumen de ventas globales en el caso de las infracciones más graves.

Poner en práctica su experiencia en RGPD

Como puede ver, si su empresa ya ha alcanzado el cumplimiento de la norma PCI DSS, es probable que ya conozca muchos de los principios y riesgos asociados con el Reglamento General de Protección de Datos. Esto significa que usted tiene una ventaja cuando se trata de asegurar todos los datos personales que se guardan, no sólo los relacionados con la información de pago con tarjeta.

Sin embargo, hay que ser rápido. El RGPD entra en vigor el 25 de mayo, dejando sólo unas semanas para asegurar su negocio. Para más ayuda y asesoramiento sobre lo que necesita hacer, y cómo puede obtener ayuda con el cumplimiento de PCI DSS y RGPD, por favor póngase en contacto o empiece internamente con el Cuestionario de Mapeo de RGPD.

DÉ EL PRIMER PASO EN SU VIAJE HACIA EL CUMPLIMIENTO:  DESCARGUE NUESTRO CUESTIONARIO DE MAPEO DE RGPD

 

Marco Borza

Written by Marco Borza

I am the Founder of Advantio.
Technology has been my passion since I was a kid; when I first heard the handshake of an old 300bps modem I realised security would be key in an interconnected world. Since then it has become my passion and primary focus.
The reason why I've started my own business is to make IT Security simple.

Certifications: CISSP / CCSA (Checkpoint) / ITIL Foundations / ACSA (ArcSight)/ Linux+/ PCI-QSA / PA-QSA